מחקר: פרצת אבטחה חמורה במנגנון ההגנה של המחשב (UEFI Secure Boot)

למאמר הבא
ESET

חוקרי ESET גילו פגיעות המשפיעה על מערכות רבות המבוססות על UEFI, המאפשרת לעקוף את מנגנון ה-UEFI Secure Boot. פגיעות זו, שמספרה CVE-2024-7344 נמצאה ביישום UEFI החתום על ידי תעודת צד שלישי "Microsoft Corporation UEFI CA 2011" של מיקרוסופט. ניצול הפגיעות מאפשר הרצת קוד שאינו מהימן בזמן האתחול של המערכת, דבר המקל על תוקפים לפרוס בקלות קיטים זדוניים (Bootkits) של UEFI, כמו Bootkitty או BlackLotus גם במערכות שבהן מנגנון ה-UEFI Secure Boot פעיל, ללא קשר למערכת ההפעלה המותקנת.

ESET דיווחה על הממצאים למרכז התיאום של CERT (CERT/CC) ביוני 2024, שהצליח ליצור קשר עם היצרנים המושפעים. החולשה תוקנה כעת במוצריהם, והקבצים הפגיעים הישנים הוסרו בתהליך עדכון Patch Tuesday של מיקרוסופט ב-14 בינואר 2025.

היישום הפגיע הוא חלק ממספר חבילות תוכנה לשחזור מערכות בזמן אמת שפותחו על ידי חברות כמו Howyar Technologies Inc, Greenware Technologies, Radix Technologies Ltd, SANFONG Inc, Wasay Software Technology Inc, Computer Education System Inc, ו-Signal Computer GmbH.

"מספר הפגיעויות שהתגלו ב-UEFI בשנים האחרונות, יחד עם הכישלון בתיקונן או בביטול קבצים פגיעים בתוך פרק זמן סביר, מראה שאפילו תכונה חשובה כמו UEFI Secure Boot אינה מהווה מחסום בלתי עביר", אומר מרטין סמולר, חוקר ESET שגילה את הפגיעות. "עם זאת, מה שמדאיג אותנו במיוחד במקרה הזה אינו משך הזמן שנדרש לתקן ולנטרל את הקובץ הפגיע – שהיה קצר יחסית בהשוואה למקרים דומים – אלא העובדה שזו לא הפעם הראשונה שמתגלים קבצי UEFI חתומים שאינם בטוחים בצורה כה ברורה. זה מעלה שאלות לגבי היקף השימוש בטכניקות לא בטוחות כאלה בקרב ספקי תוכנה צד שלישי של UEFI, וכמה מטעני אתחול (bootloaders) אחרים דומים, אך חתומים, עשויים להיות קיימים."

ניצול הפגיעות אינו מוגבל למערכות שבהן מותקנת תוכנת שחזור הפגיעה, מכיוון שתוקפים יכולים להביא עותק משלהם של הקובץ הפגיע לכל מערכת UEFI שבה משולבת תעודת ה-UEFI של מיקרוסופט עבור צד שלישי. בנוסף, דרושות הרשאות מוגברות כדי לפרוס את הקבצים הפגיעים והזדוניים למחיצת ה-EFI של המערכת (מנהל מקומי ב-Windows, או משתמש root ב-Linux). הפגיעות נגרמת כתוצאה משימוש בטעינת PE מותאמת אישית במקום פונקציות ה-UEFI הסטנדרטיות והמאובטחות LoadImage ו-StartImage. כל מערכות ה-UEFI שבהן מופעלת חתימה צד שלישי של מיקרוסופט מושפעות (במחשבי Windows 11 מסוג Secured-core אפשרות זו אמורה להיות מושבתת כברירת מחדל).

ניתן לצמצם את הסיכון הנובע מהפגיעות באמצעות יישום ביטולי ה-UEFI העדכניים ביותר של מיקרוסופט. מערכות Windows אמורות להתעדכן באופן אוטומטי. ניתן למצוא את המידע הרשמי של מיקרוסופט בנוגע לפגיעות CVE-2024-7344 בקישור הזה. במערכות Linux העדכונים זמינים דרך שירות Linux Vendor Firmware Service. לקריאה מורחבת בקרו בבלוג החברה